11.07.2018
Gefährliche Malware
Hacker nutzen Zertifikate von D-Link zum Einschleusen von Schadcode
Autor: Andreas Fischer
cifotart / shutterstock.com
Zum Verbreiten ihrer Malware setzen Hacker zunehmend auf geklaute Zertifikate. Immer häufiger versuchen sie auf diese Weise auch an geheime Geschäftsdaten zu kommen.
Dem Sicherheitsanbieter Eset sind mehrere Schaddateien ins Netz gegangen, die mit einem Zertifikat des taiwanesischen Netzwerkherstellers D-Link unterzeichnet waren. Das Zertifikat war auch zum Signieren legitimer Dateien verwendet worden. Eset ging deswegen relativ schnell davon aus, dass es sich dabei um ein echtes Zertifikat handelt. D-Link wurde mittlerweile von Eset informiert und hat das fragliche Zertifikat sowie ein weiteres nun zurückgezogen.
D-Link weist in einer Stellungnahme darauf hin, dass auch andere asiatische Hersteller in der Vergangenheit Opfer eine kriminellen Bande wurden, die gestohlene Zertifikate verwendet, um ihre Plead getaufte Malware leichter verbreiten zu können. Die zurückgerufenen Zertifikate waren von D-Link für die IP-Kameras des Unternehmens verwendet worden.
Zertifikate zum Einschleusen von Schadcode
Plead öffnet auf infizierten Computern eine Backdoor, die aus der Ferne ausgenutzt werden kann, um Daten zu stehlen und um weiteren Schadcode einzuschleusen. Die Malware kommuniziert dazu mit einem Steuerserver, der sie mit weiteren Instruktionen versorgt. Die Verbindung mit diesem Server wird mit RC4 verschlüsselt und mit LZO komprimiert. Eines der wichtigsten Ziele von Plead sollen Passwörter sein, die in Anwendungen wie Outlook, Chrome, Firefox und dem Internet Explorer gespeichert sind.
Hinter Plead steckt eine Bande namens BlackTech. Sie richtet sich laut Trend Micro vor allem gegen Opfer in Taiwan, aber gelegentlich auch gegen Firmen in Japan und Hong Kong. Wie das japanische Sicherheitsunternehmen vermutet, geht es dabei vornehmlich um den Diebstahl von sensiblen Geschäftsdaten und Informationen über neue Techniken.
Ein weiteres Unternehmen, dem laut Eset mindestens ein Zertifikat abhanden gekommen ist, soll der taiwanesische Sicherheitsanbieter Changing Information Technology (CIT) sein. CIT hat das fragliche Zertifikat mittlerweile ebenfalls zurückgerufen. Das hindert BlackTech jedoch aber anscheinend nicht daran, es weiter zum Signieren von Malware einzusetzen.
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>